摘要：針對(duì)DNS64分布式拒絕服務(wù)攻擊的具體場(chǎng)景，提出了一種基于信息熵估計(jì)的異常流量檢測(cè)技術(shù)，該技術(shù)采用了統(tǒng)計(jì)閾值而非固定閾值的攻擊檢測(cè)方式，并結(jié)合DNS64協(xié)議特點(diǎn)，針對(duì)性地引入了多攻擊特征加權(quán)判別機(jī)制。實(shí)驗(yàn)與分析結(jié)果表明，上述方法能夠針對(duì)漸增的DDoS攻擊行為給予及時(shí)響應(yīng)，同時(shí)在保障DDoS攻擊檢測(cè)率的同時(shí)，有效地降低其檢測(cè)誤報(bào)率，從而達(dá)到DNS64攻擊識(shí)別與服務(wù)防護(hù)的目的。

關(guān)鍵詞：IPv6；DNS64；并存過(guò)渡機(jī)制；DDoS；熵檢測(cè)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）21-4990-04

鑒于當(dāng)前IPv4協(xié)議的應(yīng)用普及現(xiàn)狀，從IPv4過(guò)渡到IPv6勢(shì)必是一個(gè)長(zhǎng)期演進(jìn)的過(guò)程。而隨著下一代互聯(lián)網(wǎng)協(xié)議IPv6的快速發(fā)展，越來(lái)越多的IPv4/v6并存過(guò)渡機(jī)制正在逐步得到應(yīng)用，如DNS64、NAT-PT等，而這些過(guò)渡機(jī)制本身的安全保障則成為當(dāng)前IPv4/v6安全性研究的關(guān)鍵問(wèn)題之一。

在IPv4/v6互聯(lián)網(wǎng)中，DNS是最關(guān)鍵的基礎(chǔ)核心服務(wù)之一，其服務(wù)的開(kāi)放性及其對(duì)網(wǎng)絡(luò)服務(wù)影響的廣泛性，往往使得其DDoS分布式拒絕服務(wù)攻擊的首要焦點(diǎn)，其典型的安全相關(guān)事件包括2009年“5.19斷網(wǎng)事件”、2014年“1.21宕機(jī)事件”等。而作為銜接IPv4/v6網(wǎng)絡(luò)服務(wù)橋梁、并正在快速普及的DNS64服務(wù)，其安全性保障正在逐漸受到人們的重視與關(guān)注。

目前，已涌現(xiàn)出多種基于流量的DNS拒絕服務(wù)攻擊檢測(cè)技術(shù)。秦勇等[1]提出了一種通過(guò)對(duì)DNS流量摘要記錄進(jìn)行分析來(lái)實(shí)現(xiàn)DNS異常檢測(cè)的方法；Musashi等[2]實(shí)現(xiàn)了一種針對(duì)多種類(lèi)型DNS日志流量報(bào)文實(shí)施異常檢測(cè)的方法；Ren等[3]提出一種DNS流量可視化分析方法以解決DDoS所導(dǎo)致的緩沖中毒等問(wèn)題。上述方法對(duì)于流量統(tǒng)計(jì)發(fā)生突變的DNS攻擊場(chǎng)合均非常有效，然而卻普遍不能有效應(yīng)對(duì)日益流行的流量漸進(jìn)攻擊方式，由于漸進(jìn)攻擊并不會(huì)導(dǎo)致流量統(tǒng)計(jì)突變，因此此類(lèi)基于流量統(tǒng)計(jì)的檢測(cè)方法均在不同程度上具有一定的局限性。

而基于熵估計(jì)的入侵檢測(cè)思路則有助于克服這一問(wèn)題。在流量統(tǒng)計(jì)的過(guò)程中，結(jié)合相應(yīng)的異常信息成分估計(jì)來(lái)實(shí)現(xiàn)相應(yīng)的攻擊檢測(cè)，是該思路的主要特點(diǎn)。目前針對(duì)這一方法的研究尚處發(fā)展階段，丁森林[4]等使用信息熵對(duì)若干現(xiàn)實(shí)攻擊事件進(jìn)行了分析，其結(jié)果證實(shí)了信息熵能夠及時(shí)發(fā)現(xiàn)攻擊點(diǎn)；張潔[5]等在信息熵檢測(cè)方法基礎(chǔ)上進(jìn)一步提出了分級(jí)閾值的思路，并從一定程度上降低了DDoS攻擊檢測(cè)的誤報(bào)率。

本文結(jié)合DNS64分布式拒絕服務(wù)攻擊的具體攻擊場(chǎng)景，提出了一種基于熵估計(jì)的異常流量檢測(cè)技術(shù)，該技術(shù)采用了統(tǒng)計(jì)閾值而非固定閾值的攻擊檢測(cè)方式，并結(jié)合DNS64協(xié)議特點(diǎn)，有針對(duì)性地引入了相應(yīng)的攻擊特征分類(lèi)機(jī)制，以解決當(dāng)前基于固定閾值的熵估計(jì)攻擊檢測(cè)技術(shù)所普遍存在的誤報(bào)率較高的問(wèn)題。該文同時(shí)針對(duì)上述檢測(cè)思路進(jìn)行了實(shí)驗(yàn)驗(yàn)證。分析結(jié)果表明，上述技術(shù)能夠在較大提升DNS64分布式拒絕服務(wù)攻擊的檢測(cè)率的同時(shí)，降低其檢測(cè)誤報(bào)率，從而具備良好的實(shí)際應(yīng)用價(jià)值。

1 DNS64技術(shù)與熵估計(jì)方法簡(jiǎn)介

1.1 DNS64并存過(guò)渡技術(shù)

DNS64[6]是一種IPv4-IPv6過(guò)渡技術(shù)。其一般用來(lái)與IPv6/IPv4轉(zhuǎn)換設(shè)備（如NAT64[7]設(shè)備等）協(xié)同工作，以保證IPv6-only主機(jī)可通過(guò)域名與IPv4-only的服務(wù)器建立通信。其中，NAT64通常用來(lái)實(shí)現(xiàn)TCP、UDP、ICMP協(xié)議下的IPv6與IPv4網(wǎng)絡(luò)地址和協(xié)議報(bào)文的轉(zhuǎn)換。而DNS64則主要是配合NAT64工作，用于在建立連接伊始，將DNSv4查詢(xún)信息中的A記錄（IPv4地址）合成到AAAA記錄（IPv6地址）中，繼而將合成后AAAA記錄用戶(hù)給IPv6側(cè)用戶(hù)。

DNS64與NAT64配合工作的協(xié)議流程如下圖所示。

在上述跨協(xié)議域的交互過(guò)程中，不難發(fā)現(xiàn)，DNS64服務(wù)器極易成為分布式拒絕服務(wù)攻擊的重點(diǎn)目標(biāo)。這主要是因?yàn)?，首先，由于該服?wù)涉及到多次DNSv4、DNSv6請(qǐng)求的發(fā)起與組裝返回，而這一過(guò)程是有狀態(tài)的，如果針對(duì)該服務(wù)進(jìn)行DDoS攻擊的話，勢(shì)必能夠以更高的效率耗盡DNS64服務(wù)的處理能力及其狀態(tài)保存相關(guān)的存儲(chǔ)資源；其次，對(duì)于背后的雙棧DNS服務(wù)器而言，遭受到DDoS攻擊的DNS64服務(wù)器恰好成為了一個(gè)放大攻擊流量的跳板，在遭受DDoS攻擊的場(chǎng)合下，其勢(shì)必也將導(dǎo)致背后的DNS服務(wù)也遭受到至少同等強(qiáng)度的拒絕服務(wù)攻擊。

由此不能看出，DNS64作為一種被廣泛應(yīng)用的64過(guò)渡機(jī)制，其在應(yīng)對(duì)DDoS攻擊方面實(shí)際上存在著顯著缺陷，其本身不僅容易受到攻擊，而且在受到攻擊的情況下，其還將連帶波及到其他關(guān)鍵服務(wù)網(wǎng)元。因此，及時(shí)檢測(cè)出針對(duì)DNS64服務(wù)器的攻擊并采取相應(yīng)的防護(hù)措施，對(duì)于保障其正常服務(wù)而言非常關(guān)鍵。

1.2 基于信息熵度量的攻擊檢測(cè)

信息熵的概念最先由信息論之父香農(nóng)于1948年提出，作為一個(gè)衡量事件信息含量的基本度量，其認(rèn)為所有的信息均不同程度的存在著冗余，而冗余的大小與信息中的符號(hào)出現(xiàn)概率相關(guān)，而在剔除信息中冗余信息之后所剩余的平均信息量則被定義為“信息熵”。信息熵這一概念被廣泛地應(yīng)用于描述隨機(jī)事件出現(xiàn)的不確定性；如某系統(tǒng)中事件出現(xiàn)的越隨機(jī)、越雜亂無(wú)章，則其含有的信息量就越大，其熵值也應(yīng)越大。

假設(shè)存在某個(gè)隨機(jī)事件X，則其發(fā)生時(shí)所包含的信息量應(yīng)該是該事件發(fā)生時(shí)先驗(yàn)概率 P （X）的函數(shù)，于是可將事件 X所包含的自信息量I（X）（單位bit）以如下形式定義：

信息熵一般具有非負(fù)性，即其通常為正數(shù)；同時(shí)，其還具有對(duì)稱(chēng)性，其值并不會(huì)因?yàn)槭录y(tǒng)計(jì)順序變化而發(fā)生改變；同時(shí)其還具有確定性，即當(dāng)某事件發(fā)生概率為1時(shí)，則信息熵取值必定為0；除此之外，其還具有最大離散熵屬性，即當(dāng)系統(tǒng)中所有離散事件發(fā)生的概率相等時(shí)，此時(shí)系統(tǒng)具有最大離散熵。

信息熵的上述性質(zhì)，使得其非常適合用來(lái)作為分布式拒絕服務(wù)攻擊檢測(cè)的度量。其主要思路在于：為規(guī)避攻擊檢測(cè)，目前DNS分布式拒絕服務(wù)攻擊大多通過(guò)采用大量的偽造源地址、針對(duì)大量不存在的域名發(fā)起DNS請(qǐng)求的方式來(lái)發(fā)起攻擊，因此將直接導(dǎo)致在一定時(shí)間窗口內(nèi)以不同源地址或不同請(qǐng)求域名作為隨機(jī)事件的熵度量的顯著增長(zhǎng)，而這一熵度量則可作為判別分布式拒絕服務(wù)攻擊是否發(fā)生的一個(gè)直覺(jué)依據(jù)。

2 基于熵估計(jì)的DNS64分布式拒絕服務(wù)攻擊檢測(cè)

2.1 針對(duì)攻擊特征的信息熵計(jì)算

本文采用了一種基于等量數(shù)據(jù)包的統(tǒng)計(jì)方式來(lái)計(jì)算信息熵檢測(cè)值，其算法描述如下：

1） 不妨設(shè)N為當(dāng)前檢測(cè)量，即，針對(duì)每N個(gè)DNS查詢(xún)數(shù)據(jù)包進(jìn)行1次信息熵計(jì)算，這N個(gè)DNS查詢(xún)數(shù)據(jù)包被稱(chēng)為一個(gè)檢測(cè)周期；

2） 考慮到DNS DDoS攻擊方式的特點(diǎn)，我們選取將DNS數(shù)據(jù)包中的源地址與其查詢(xún)域名的內(nèi)容作為數(shù)據(jù)包的特征并加以提?。?/p>

3） 當(dāng)采集的數(shù)據(jù)包數(shù)量累積達(dá)到N時(shí)，觸發(fā)1次信息熵計(jì)算，其計(jì)算方法為：逐一針對(duì)特定的特征類(lèi)別，對(duì)當(dāng)前積累的N個(gè)數(shù)據(jù)包中的特征取值進(jìn)行歸類(lèi)，并得到不同類(lèi)別的特征取值出現(xiàn)的累積個(gè)數(shù)，然后計(jì)算出不同特征取值類(lèi)別出現(xiàn)的概率。

4） 基于各個(gè)特征取值出現(xiàn)的概率，計(jì)算出針對(duì)該特征的信息熵值，并將該熵值保存下來(lái)作為后繼檢測(cè)的基本依據(jù)。

通過(guò)上述計(jì)算方式，不難發(fā)現(xiàn)，當(dāng)分布式拒絕服務(wù)攻擊發(fā)生時(shí)，來(lái)自隨機(jī)源地址的DNS數(shù)量將急劇增長(zhǎng)，而與其同時(shí)，其DNS請(qǐng)求解析的隨機(jī)域名數(shù)量也將不斷增長(zhǎng)，因此在這種場(chǎng)合之下，針對(duì)源地址與請(qǐng)求解析域名這兩個(gè)特征的信息熵值也將出現(xiàn)顯著的增長(zhǎng)，而這一趨勢(shì)則可以作為判斷當(dāng)前是否存在DDoS攻擊的直覺(jué)判別依據(jù)。

2.2 基于擬合殘差的熵估計(jì)檢測(cè)

值得指出的是，盡管我們可以在利用2.1節(jié)算法的同時(shí)，設(shè)定一個(gè)固定判決閾值，當(dāng)信息熵高于該閾值時(shí)表示檢測(cè)到攻擊，但這種方式存在著其固有的局限性：當(dāng)其閾值設(shè)置得過(guò)大時(shí)，系統(tǒng)的檢測(cè)率將隨之變低，而當(dāng)其閾值設(shè)置得過(guò)小時(shí)，則誤報(bào)率變高。

為解決這一問(wèn)題，該文提出了一種基于統(tǒng)計(jì)擬合的方法來(lái)動(dòng)態(tài)選取判決閾值?？紤]連續(xù)統(tǒng)計(jì)M個(gè)檢測(cè)周期的場(chǎng)合，在每一周期中針對(duì)某一特定的特征我們均可獲得其所對(duì)應(yīng)的信息熵h。為描述方便起見(jiàn)，以下我們暫時(shí)僅考慮單一特征的情況。

我們將M稱(chēng)為統(tǒng)計(jì)窗口，并且可針對(duì)該窗口下某特定特征的所有熵值進(jìn)行從小到大排序，根據(jù)排序的結(jié)果，將排列次序?yàn)閕的信息熵定義為hi。

針對(duì)熵值集合，可對(duì)其進(jìn)行線性擬合，擬合結(jié)果表述如下：

2.3 基于特征加權(quán)的熵估計(jì)檢測(cè)

在2.2中，我們僅考慮了單一特征統(tǒng)計(jì)的情況。事實(shí)上，在針對(duì)DNS64的實(shí)際DDoS攻擊場(chǎng)合下，其各攻擊特征的熵值變化趨勢(shì)并不是一致的，比如，如前文所述，針對(duì)其攻擊報(bào)文中源地址特征及請(qǐng)求域名的信息熵變化趨勢(shì)是遞增的，而針對(duì)其攻擊報(bào)文的DNS請(qǐng)求類(lèi)型這一特征的信息熵統(tǒng)計(jì)趨勢(shì)卻是遞減的，這主要是因?yàn)楣舴綖榱思哟髮?duì)DNS64服務(wù)器的負(fù)載壓力，反復(fù)向其發(fā)起同種類(lèi)型的DNS Query報(bào)文的緣故。這一觀察表明，與熵值異常程度ai類(lèi)似的，不同類(lèi)型特征的熵值變化趨勢(shì)對(duì)于DDoS攻擊評(píng)判也存在著相應(yīng)的影響。

為綜合考慮上述兩方面因素，不妨設(shè)DDoS攻擊特征集合為F={f1， f2， f3， …， fn}，其中n為特征總量。對(duì)于第i個(gè)特征，可用Ii來(lái)表示其熵值是否顯著增加，當(dāng)其熵值顯著提升時(shí)，Ii取值為1，否則為0；同時(shí)用Di來(lái)表示該特征的熵值是否顯著降低，其取值含義與Ii類(lèi)似。

我們同時(shí)定義權(quán)值ui表示當(dāng)特征i的熵值顯著提升時(shí)對(duì)DDoS攻擊判決的影響權(quán)重，并且定義表示當(dāng)特征i的熵值顯著提升時(shí)，其對(duì)DDoS攻擊判定的權(quán)重為vi。則有所有特征的熵值變化對(duì)DDoS攻擊的評(píng)價(jià)度量V為：

3 實(shí)驗(yàn)與分析

為驗(yàn)證上述算法的有效性，該文采用了模擬DDoS攻擊的方式，將該算法與采用固定閾值判定的檢測(cè)算法效果進(jìn)行了對(duì)比。具體實(shí)驗(yàn)環(huán)境為x86平臺(tái)下的debian-sid Linux，整個(gè)驗(yàn)證實(shí)驗(yàn)采用了多臺(tái)計(jì)算機(jī)（Intel Dual-Core 2.0Ghz，512M，攻擊主機(jī)3臺(tái)，DNS64服務(wù)器1臺(tái)，普通服務(wù)器1臺(tái)，終端機(jī)1臺(tái)），所有主機(jī)均以100Mbps全雙工互連。模擬DDoS攻擊的軟件采用DDOSIM[8]。

4 結(jié)論與下一步工作

本文針對(duì)DNS64分布式拒絕服務(wù)攻擊的具體場(chǎng)景，提出了一種基于信息熵估計(jì)的異常流量檢測(cè)技術(shù)，該技術(shù)采用了統(tǒng)計(jì)閾值而非固定閾值的攻擊檢測(cè)方式，并結(jié)合DNS64協(xié)議特點(diǎn)，針對(duì)性地引入了多攻擊特征加權(quán)判別機(jī)制。實(shí)驗(yàn)與分析結(jié)果表明，上述方法能夠針對(duì)漸增的DDoS攻擊行為給予及時(shí)響應(yīng)，同時(shí)在保障DDoS攻擊檢測(cè)率的同時(shí)，有效地降低其檢測(cè)誤報(bào)率，從而達(dá)到DNS64攻擊識(shí)別與服務(wù)防護(hù)的目的。

下一步工作主要包括：將其分析思路應(yīng)用在DNS64-NAT64協(xié)作場(chǎng)景之下，進(jìn)一步分析NAT64、NAT-PT等關(guān)鍵v4/6并存過(guò)渡機(jī)制所面臨的DDoS風(fēng)險(xiǎn)；以更細(xì)粒度分析攻擊判決模型，探討其算法參數(shù)的自適應(yīng)優(yōu)化取值方法；嘗試采用統(tǒng)計(jì)學(xué)習(xí)方法改善信息熵攻擊判決效率，進(jìn)一步提升系統(tǒng)在正常訪問(wèn)流量下的容忍度。

參考文獻(xiàn)：

[1] 秦勇.一種基于異常檢測(cè)的DNS流量負(fù)載審計(jì)[J].微計(jì)算機(jī)應(yīng)用，2004，25（2）：145-149.

[2] Y.Musashi，R.Matsuba， K.Sugitani.A Threat of AAAA Resource Record-based DNS Query Traffic. IPSJ Symposium Series，2006（12）：61-66.

[3] Pin Ren，Kristoff J，Gooch B.Visualizing DNS Traffic. Proceedings of the 3rd International Workshop on Visualization for Computer Security.Alexandria，Virginia， USA，2006：23-30.

[4] 丁森林，吳軍，毛偉.利用熵檢測(cè)DNS異常[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19 （12）：195-198.

[5] 張潔，秦拯.改進(jìn)的基于熵的DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2010，30（7）：1778-1781.

[6] Bagnulo M.DNS64： DNS Extensions for Network Address Translation from IPv6 Clients to IPv4 Servers[S]. RFC6147， 2011.

[7] Bagnulo M. Stateful NAT64： Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers[S]. RFC6146， 2011.

[8] DDoSIM[EB/OL].http：//sourceforge.net/projects/ddosim/.